虚拟化可怕的一面

通过罗伯特·米切尔

《计算机世界》 |

在今年3月举行的Computerworld Premier 100 IT领袖会议上，一位CIO站起来表达了他对虚拟基础设施的安全性的担忧，该设施包含了他公司超过一半的生产服务器。另外两名IT高管也表达了他们的担忧。

当时在场的高管都不愿意公开承认自己感到脆弱，但Rent-A-Center Inc.技术服务和架构高级总监查纳尼(Jai Chanani)感到了这种痛苦。他表示:“我最大的担忧之一是窃取(虚拟服务器)的能力。”

越来越担心

您的组织对虚拟化环境中的安全性问题有多关心?

非常或极:32.7%

*有些:36%

*最低限度:23.7%

*一点也不:7.6%

资料来源:infopro对214名IT安全专业人员的调查，2010年11月

Chanani的团队有大约200个虚拟服务器作为文件、打印和某些情况下的应用服务器。但是，出于安全原因，他的商店不使用虚拟化用于公司的ERP系统、数据库或电子邮件。

游乐园运营商Six Flags Inc.的首席信息官迈克尔•伊斯雷尔(Michael Israel)表达了不同的担忧。对他来说，最令人不安的场景是一个流氓管理员搬家了虚拟服务器从一个安全网络段到一个不安全段中的物理主机，或创建新的、未归档的、未授权的和未打补丁的虚拟服务器。他说:“我最不希望看到的就是有25个我不知道存在的服务器。”

Forrester Research Inc.的分析师约翰•金德瓦格(John Kindervag)说，他曾听说有客户泄露了VMware的vCenter管理控制台，使攻击者能够复制一个虚拟机，然后运行该虚拟机访问数据。“当你偷一个虚拟机时，就好像你闯入了数据中心，偷走了一块硬件。雷竞技电脑网站这可能是毁灭性的，”他说。

VMware公司产品营销高级主管Venu Aravamudan说:“我们与客户合作多年，制定了最佳实践，让这完全不存在问题。”他说，大多数用户通过遵循最佳实践来解决这些风险，比如创建一个独立的网络段来管理资源，以及创建基于角色的访问控制。

通过整合和提高效率，向虚拟服务器的迁移为企业节省了大量资金，但随着虚拟化吞噬越来越多的生产服务器，一些IT高管开始消化不良。有什么被忽略了吗?灾难性的破坏会导致关键的应用程序崩溃吗?或者可能会导致整个数据中心崩溃?雷竞技电脑网站

“客户某天醒来，意识到他们50%的关键业务应用驻留在虚拟基础设施上，他们会说，‘天哪，这安全吗?这很常见，”安全咨询公司IBM Security Solutions的战略副总裁克里斯•洛夫乔伊(Kris Lovejoy)说。

“你可能会认为，全球有一些知名的大公司会拥有比这更好的音乐。EMC Corp. RSA部门的高级安全顾问安德鲁•穆尔(Andrew Mule)说。

问题并不在于虚拟基础设施本身很难保证安全，而是许多公司仍然没有将他们的最佳实践(如果他们有的话)适应新环境。

虚拟头痛

虚拟化引入了必须管理的技术——包括新的软件层和hypervisor。另一项新技术是虚拟交换，它在虚拟服务器之间路由网络流量，而设计用于监控物理网络流量的工具并不总是能够看到这种方式。

此外，虚拟化打破了IT内部传统的职责分离，允许一个管理员按下一个按钮就能生成大量新的虚拟服务器，而无需购买许可或网络、存储、业务连续性或IT安全组的输入(见“小心全能的管理员”下面)。

与此同时，支持虚拟化的安全技术和最佳实践仍在不断发展。洛夫乔伊说，这个市场发展得如此之快，以至于客户无法从最佳实践的角度跟上潮流。他们缺乏这方面的知识，也缺乏该领域的技能。

纽约IT市场研究公司TheInfoPro的安全研究常务董事Bill Trussell说:“虚拟环境中的安全问题主要集中在缺乏可见性、缺乏控制和对未知的恐惧。”有人会像一位CIO担心的那样，劫持企业虚拟基础设施中的虚拟管理程序，并使用它来破坏驻留在其上的所有虚拟服务器吗?攻击者是否可以破坏一台虚拟服务器，并将其用作攻击另一台虚拟服务器的平台，例如驻留在同一硬件上的支付卡处理应用程序，而管理员对此一无所知?

RSA负责安全基础设施的高级主管Eric Baize说，尽管虚拟基础设施还没有受到已知的攻击，但对类似这样可怕场景的担忧仍然存在。

今年早些时候，TheInfoPro对214名IT安全专业人士进行了调查，发现三分之一的人“非常或极其”担心虚拟化环境中的安全问题。

在Joanna Rutkowska的攻击之后，对可能危及系统管理程序的担忧上升“蓝色药丸”hypervisor恶意软件rootkit在2006年的黑帽会议上。

然而，从那时起，业界就开始使用硬件技术来确保管理程序的完整性，例如英特尔的定向I/O虚拟化技术(称为dv -d)。IT安全研究公司Invisible Things Lab的创始人兼首席执行官鲁特科夫斯卡表示:“如今，大多数(英特尔的)酷睿i5和i7处理器都拥有这些技术。”虚拟化软件供应商已经开始支持这些功能。

Rutkowska自己也怀疑真的会有人使用蓝色药丸式的rootkit来破坏虚拟机。她说:“坏人真的没有任何动机去使用这种复杂的rootkit。”特别是自从90年代的rootkit技术在攻击传统操作系统方面仍然很有效以来。

Trussell说:“人们都在为理论设想而苦恼，而不是那些已经被证明是问题的设想。”

但是，如果没有遵循和适应虚拟基础设施的最佳实践，虚拟化确实会带来风险。例如，hypervisor必须像任何其他操作系统一样打补丁，Rent-A-Center的信息安全高级主管KC Condit说。

安全顾问表示，他们已经注意到客户站点存在各种各样的安全问题。

例如，Lovejoy发现恶意软件和跨站点脚本问题都是由于虚拟机映像构造不当造成的。她说:“通常，这些图像将包含恶意软件或有漏洞，很容易被利用。”“这种事以前只发生过一次。现在这些图片被无休止地使用，给人们带来了巨大的麻烦。”

“我们看到了许多配置错误的管理程序，”RSA的Mule补充道。他说，他经常看到虚拟机的补丁管理实践很糟糕，对拥有完全访问管理程序权限的虚拟机管理程序使用容易被猜到的或默认的用户名和密码。此外，他说，“我们偶尔会看到虚拟机管理工具出现在防火墙的错误一侧。”

IBM security Solutions的云安全策略首席技术官哈罗德•莫斯(Harold Moss)表示，在创建新的虚拟服务器时使用默认密码是很常见的，负责管理新机器的人也不会总是更改密码。他解释说，想要偷东西的人可以拨号进入机器，猜出密码，完全控制机器。

此外，由于虚拟机映像是数据——存储在硬盘驱动器某处的程序代码——这些文件必须受到保护。凤凰城政府的高级安全工程师Vauda Jordan说:“你肯定不希望有人带走u盘上的整个服务器。”她说，该市结合了物理安全、网络存储访问控制和文件完整性监控来保护虚拟机镜像。

虚拟机之间的通信流是另一个需要关注的问题，因为防火墙、入侵检测和预防系统以及其他监控工具无法判断虚拟机是否运行在相同的硬件上。

“我在虚拟服务器上安装了数据包嗅探器，没有任何东西进出物理网络接口。那么，这些交流是如何发生的呢?他们通过安全渠道了吗?”乔丹问道。虽然约旦对虚拟基础设施进行了大量投资，但出于安全方面的考虑，约旦甚至不愿谈论这项技术或其范围。

在VMware的ESX服务器和其他主要虚拟化平台上，在虚拟机之间传递的数据是不加密的。Aravamudan表示，VMware正在“积极考虑”加密技术，但他拒绝透露何时会将其加入公司产品。

VMware的vShield等系统和其他第三方工具可以创建虚拟防火墙，将VMware、XenServer、Hyper-V等虚拟机分割到不同的安全区域，但并不是所有的组织都实现了它们。例如，安全区的建立并不是租房中心的重点。但Condit说，随着虚拟基础设施规模的扩大，这已经成为一种必要。

一些现有的防火墙工具可以看到虚拟服务器流量，但在其他情况下，需要添加另一组特定于虚拟化的工具，这增加了管理的复杂性。

Gartner Inc.分析师尼尔•麦克唐纳(Neil MacDonald)说，最好能有一个涵盖物理和虚拟环境的工具集。然而，在传统的安全工具供应商赶上之前，它可能需要引入一些不太知名的供应商提供的工具，如Altor Networks、Catbird Networks和HyTrust，这些工具都是专门为虚拟机定制的。

更重要的是，核心网络架构需要改变以适应虚拟化，RSA的Mule说。在物理服务器上正常工作的网络在虚拟机上不一定工作得很好。如果实现了合适的路由、子网和虚拟局域网，安全性将得到提高。他认为，虚拟化环境下的大多数业务连续性失败可以归因于网络设计缺陷。

Six Flags的高级系统工程师Matthew Nowell使用虚拟局域网来隔离虚拟服务器。“这取决于我们如何设置路由规则，它们是否能够相互通信，”他说。

但是麦克唐纳警告说，“仅凭vlan和基于路由器的访问控制不足以实现安全隔离。”这家研究公司的指导方针呼吁部署某种虚拟感知防火墙。